El documento describe los riesgos asociados con fusiones y adquisiciones de empresas desde una perspectiva de seguridad de la información y cumplimiento. Señala que es importante analizar previamente las plataformas, aplicaciones y procesos tecnológicos de ambas empresas para evitar mayores costos de remediación. También destaca la necesidad de alinear la cultura, sistemas y procesos de ambas organizaciones para garantizar la seguridad y disponibilidad de la información durante la transición.
Fusiones y adquisiciones - Cultura, gobierno y cumplimiento
1. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
1
Fusiones y adquisiciones
Cultura, gobierno y cumplimiento: Las necesidades del negocio y el
riesgo de resistencia a los cambios organizacionales
Si lo que la organización busca es beneficiarse con una fusión de empresas
para disminuir los gastos de operación y/o producción y aumentar la
rentabilidad ¿Porque no tener en cuenta el análisis previo de plataformas,
aplicaciones y procesos tecnológicos que dan soporte al negocio, evitando
así mayores costos en su remediación posterior por cuestiones regulatorias o generar nuevos
expuestos de seguridad a sus procesos internos y a la información?
Hay dos condiciones que generan profundos cambios en la operación funcional y tecnológica
de las empresas que hacen peligrar el gobierno de sus procesos internos: La adopción de
nuevos estándares o regulaciones de negocios, y la adquisición o fusión de empresas. Ambas
problemáticas responden a una acción decidida y planificada por la alta dirección y
representada en el plan de negocios de la organización, pero los cortos tiempos de
implementación resultantes de una baja coordinación desde el negocio con las diferentes áreas
de servicio y soporte de la organización hace que los riesgos sobre el gobierno de las
tecnologías y la falta de cumplimiento aumente.
Esta exposición que impacta negativamente sobre la gestión y seguridad de los procesos de
negocio puede verse representada en fusiones o adquisiciones mal administradas que
provocan, entre otros, los siguientes riesgos a los negocios:
Estratégico
• Incapacidad para manejar las expectativas de los inversionistas
• Fallas del gobierno corporativo y control interno
• Rechazo interno al marco regulatorio
• Acciones legales o punitivas por falta de cumplimiento al marco regulatorio
• Incapacidad para atraer y retener conocimientos y competencias durante la transición
• Bajo control de costos
Operativo y Cumplimiento
• Administración ineficiente o fallas en la prestación de servicios internos y externos
• Inversión ineficaz en la infraestructura con impacto negativo que la convierte en obsoleta
o inadecuada
• Débil seguridad de los datos y riesgos de privacidad
• Riesgos en los procesos de servicio de TI y seguridad de la información
• Incapacidad de explotar y proteger activos (piratería y derechos de propiedad intelectual)
• Sistemas y procesos inadecuados para sustentar el negocio
• Aumento en las presiones regulatorias
Esta problemática abarca tanto a procesos funcionales como tecnológicos, partiendo de la base
que hace a la cultura interna de toda organización y que establece las pautas para la gestión
del negocio: las políticas y su entorno documental, y los usos y costumbres de las personas.
Por ello cada vez que nos ha tocado el desafío de ayudar en una organización para adecuar
2. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
2
sus procesos y procedimientos internos, ya sea de negocio o de servicios de tecnología y
seguridad, nos hemos encontrado con las limitaciones propias del nivel de madurez de las
mismas empresas que pretenden alinear sus procesos ante fusiones o adquisiciones poniendo
en riesgo la calidad de sus servicios, la gobernabilidad de sus operaciones y la seguridad de la
información que procesan.
Por ello, los riesgos mencionados no solo están relacionados con la Confidencialidad...
Compatibilizar creencias, cultura, sistemas y mecanismos de transferencia puede afectar
seriamente la disponibilidad e integridad de la información y por consecuencia afectar a la
CALIDAD de los servicios o productos que ofrecemos, y por ende impactar negativamente en
la IMAGEN de nuestra Compañía.
En respuesta a esta problemática debemos analizar cómo es que se
ha desarrollado la cultura de cada una de las empresas involucradas
en el proceso de fusión, y esto involucra el analizar como tratan y
cumplen las personas con cada una de las políticas, normas y
procedimientos, su entendimiento de las regulaciones y su nivel de
compromiso en el cumplimiento, y cuál es su enfoque de acuerdo al
grupo de interés que ocupe en la organización determinado por
niveles de Dirección, Gerencial o Usuarios.
De esa forma podremos construir un modelo de comunicación para poder obtener el apoyo
desde la Dirección y Alta Gerencia, la colaboración de los Usuarios y su compromiso con el
proyecto, responsabilidad con la información brindada y eficiencia en su efectiva
implementación. De por sí, ya sabemos que dentro de esos grandes grupos definidos como
Dirección, Gerencias y Usuarios, los intereses de cada uno frente a una fusión son diferentes,
por lo que establecer una forma de conectar cada área de interés es INDISPENSABLE en
estas situaciones para la salud y sobrevivencia de una Organización.
Sabemos también que desde el negocio se deben tomar acciones coordinadas en cuanto a la
preparación de nuestra organización para que responda en forma adecuada a los nuevos
requerimientos planteados desde sus objetivos actuales. Para comunicar en forma clara estos
objetivos debe entenderse que:
• El Negocio debe comunicar cuáles son sus futuros objetivos, para conseguir el soporte
necesario por parte de la Organización, ya sea desde sus áreas administrativas como de
sus áreas tecnológicas.
• La organización, desde las diferentes áreas brindará el soporte necesario acorde a los
requerimientos del Negocio.
¿Que tener en cuenta entonces? Primordialmente, reconocer y conocer cuáles son los
requisitos normativos y regulatorios que impactan en el proyecto de fusión como consecuencia
de la unión de ambas empresas, y a partir de allí establecer equipos interdisciplinarios que nos
permitan analizar en forma integral todos los aspectos que hacen que nuestro negocio sea
exitoso a partir del tratamiento y procesamiento de la información. Áreas comerciales, legales,
3. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
3
administrativas, tecnológicas y de seguridad de la información pueden ser los principales
actores para definir en forma adecuada para el esclarecer el nuevo entorno del negocio.
Ante una fusión o asociación de empresas debemos
pensar que para asegurar cada uno de los procesos de
negocio resultantes, sobre todo aquellos que surjan nuevos
o adecuados a la nueva organización, deben ser alineados
siguiendo los siguientes conceptos:
1. Entender que la buena comunicación interna aporta
un valor positivo (más que agregado) para cumplir
objetivos regulatorios del negocio, claridad en los
requerimientos operativos del Negocio y sus
procesos manuales y tecnológicos y facilitar la coordinación de los diferentes equipos al
establecer roles específicos ante proyectos de respuesta al Negocio.
2. Promover con el apoyo de la Alta Gerencia esta comunicación, para que desde cualquier
área de la organización puedan establecerse ambientes colaborativos con pautas claras
y roles definidos que aporten a la concreción de los objetivos establecido por el Negocio
durante todo el proceso de fusión.
3. Analizar cada uno de los procesos de uno y otro lado, para poder identificar posibilidades
de integración o riesgos de posibles conflictos. Esto nos permitirá obtener las
herramientas necesarias para conseguir una mejora de nuestro Negocio desde la
integración, y las respuestas correctivas para resolver inconsistencias
4. Al iniciar el proyecto identifique una fase de capacitación para el entendimiento de la
operación, identificación de intervinientes, alcances y roles dentro del proyecto,
necesidades de cumplimiento legal y de negocio, y fundamentalmente las necesidades
de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de
seguridad (seguridad de la información, o bien seguridad física y seguridad informática).
5. Si bien integrar la cultura de distintas organizaciones siempre es un desafío que afecta
en forma directa al negocio, recordar y no perder de vista nuestras políticas debe servir
para repasar la documentación asociada a cada uno de los procesos, identificar aquellos
“puntos a cubrir” que surgen de los cambios, y establecer la actualización adecuada para
la capacitación de cada uno de los integrantes de la organización basados en el
entendimiento y la comunicación para reforzar nuestra cultura interna en su nuevo
entorno.
6. Todas las aplicaciones deben ser previamente analizadas, teniendo en cuenta su
administración, operación y control, entradas y salidas de información, posibilidades de
importación y exportación de datos, compatibilidad de software de base y posibilidades
de upgrade, interfaces existentes y la posibilidad de crear nuevas, haciendo que se
mantenga la DISPONIBILIDAD e INTEGRIDAD de la información y CONTINUIDAD de
procesamiento.
4. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
4
7. Todo el equipamiento debe ser previamente analizado para revisar su dimensionamiento
respecto a las nuevas necesidades del Negocio, establecidos sus estándares de
configuración de acuerdo a lo indicado por los requisitos regulatorios y normativos e
identificar en forma correcta estos componentes dentro de cada uno de los procesos
para asegurar protección al Negocio desde la infraestructura de los servicios de IT.
Cada uno de estos aspectos deben ser analizados por un equipo
interdisciplinario desde el principio de las negociaciones; esto permitirá
que podamos establecer los alcances de impacto en nuestra
organización, medir los esfuerzos y establecer la disponibilidad de los
recursos financieros, económicos y operativos, establecer las medidas
necesarias para mitigar los riesgos de seguridad e integridad de la
información, planificar en forma adecuada las futuras implementaciones
estableciendo fechas y prioridades acorde a los resultados esperados
por el Negocio.
El resultado de esta “sinergia” generada desde la Alta Dirección al
propiciar la participación efectiva de los referentes de cada área
permitirá que su plan de negocio sea más sólido en su estrategia,
recordando que las áreas de seguridad y tecnología son parte de ese plan en el marco
empresario actual, brindando a través de ellas calidad y gobernabilidad sobre todos los
servicios de IT.
¿A que debemos estar atentos en la transición?
1. Establecer auditorias para la verificación de cumplimiento con el compromiso de
seguridad y tratamiento de la información, acorde a la Política de Seguridad de nuestra
organización, así como la aceptación de la política mencionada por parte del nuevo
personal.
2. Informar sobre todos los cambios de personal que afecten al negocio, así como
especificar roles y responsabilidades en el tratamiento de la información, la que deberá
ser previamente clasificada y analizar los riesgos y medidas de protección durante todo
el proceso.
3. Disponer de procedimientos definidos y aceptados por nuestro socio, para la detección y
respuesta de alertas de intrusión por ejemplo, previendo la notificación por medio de
alertas o intrusiones de alto riesgo.
4. Todo sistema, red o conexión externa no operado por nosotros y que interactúe con
nuestros sistemas o redes deben estar documentadas y contar con instalaciones y
equipamiento previamente analizados y aprobados por nuestra organización.
Estableciendo una relación entre los aspectos legales y de seguridad de nuestro negocio, a
veces es conveniente reforzar los contratos comerciales con convenios de confidencialidad
aunque tengan una cláusula de confidencialidad incluida, ya que contienen otros aspectos más
5. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
5
amplios a los de una simple cláusula contractual y en él se transcribe la política de acceso a la
información involucrada, por ejemplo, por nuestra organización.
Como conclusión, y cuando desde cualquier Unidad de Negocio se planteen estrategias
comerciales que resulten en fusiones o convenios de acciones comerciales conjuntas lo
primero que debemos preguntarnos es:
¿Invitarías a tu casa a alguien que no conoces? ¿Compartirías tus
sueños y proyectos con alguien que no comparte tus "ideas y
creencias"?
Fabián Descalzo
Gerente de Governance, Risk & Compliance
Cybsec S.A. – Security Systems
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec Security Systems S.A.,
certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011
(EXIN) y auditor ISO 20000 (LSQA-Latu).
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas
CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community y MAGAZCITUM; y
disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA
Montevideo Chapter.
Profesor del módulo 27001 del curso de IT Governance, Uso eficiente de Frameworks y la Diplomatura en Gobierno y Gestión
de Servicios de IT del Instituto Tecnológico Buenos Aires (ITBA)